ID: IRCNE2011121349
Date: 2011-12-20

According to “ZDNet”, in an attempt to offer layered security to its millions of Web users, Yahoo Inc. recently announced the availability of two factor authentication for Yahoo! Mail users.
More on the feature:
Once the feature is turned on, any suspicious account sign-in attempt will be challenged by a second sign-in verification beyond the initial password validation. To confirm the legitimacy of the sign-in attempt, you or the hijacker will have to answer your account security question or enter a verification code that will be sent to your mobile phone. Presumably, only you, as the legitimate user, can sign in. Account hijackers will be blocked since they neither know your security answer nor possess your mobile phone.
Users who wish to active the secondsign-in verification can do it through the Yahoo! Account Info page. The feature is currently available to users residing in the United States, Canada, India, and the Philippines, with the feature extending gradually to all worldwide users by March 2012.

ID: IRCNE2011121348
Date: 2011-12-19

According to "techworld", Adobe Systems has released Adobe Reader and Acrobat 9.4.7 in order to patch two vulnerabilities that are being actively exploited in attacks against companies from the defence industry.
One of the security flaws, identified as CVE-2011-2462, was announced on December 6 after Lockheed Martin's Computer Incident Response Team (CIRT) and members of the Defense Security Information Exchange reported it to Adobe.
Symantec confirmed a few days later that the vulnerability had been exploited since the beginning of November in email-based attacks that targeted companies from the telecommunications, manufacturing, computer hardware, chemical and defense industries.
Even though the vulnerabilities also affect the Adobe Reader and Acrobat X (10.x) branch, Adobe decided to postpone updates for these versions until the next scheduled update cycle on January 10.
Updates for Adobe Reader 9.x for Unix will also be released on January 10. Users of the Windows 9.x versions are strongly encouraged to upgrade to Adobe Reader and Acrobat 9.4.7 in order to protect their computers.
Related Link:

Adobe promises Reader zero-day patch on Friday

شماره: IRCNE2011121347
تاريخ: 26/09/90

روز پنج شنبه ادوبي اعلام كرد كه روز جمعه يك اصلاحيه براي نسخه قديمي Acrobat Reader منتشر خواهد كرد.
نه روز پيش اين شركت تاييد كرد كه يك مشكل بسيار مهم در Reader وجود دارد و قول داد تا اين هفته رخنه در Reader و Acrobat 9.x را برطرف نمايد.
سوء استفاده هاي كشف شده توسط محققان امنيتي نشان مي دهد كه اين سوء استفاده ها به طور خاص Acrobat 9.x را با استفاده از اسناد PDF دستكاري شده متصل به ايميل هاي جعلي مورد هدف قرار داده بودند.
روز پنج شنبه ادوبي اظهار داشت: كه هيچ اصلاحيه اي براي Reader و Acrobat 10 براي ويندوز و يا براي هر نسخه از اين برنامه هاي كاربردي بر روي Mac OS X و يونيكس تا دهم ژانويه 2012 ارائه نمي دهد.
نسخه هاي اصلاح شده Reader و Acrobat 9.x از طريق وب سايت ادوبي در دسترس قرار دارد. اصلاحيه روز جمعه ادوبي ششمين به روز رساني امنيتي براي Reader در سال 2011 است.

شماره: IRCNE2011121346
تاريخ: 26/9/90

محافظت از خود در اينترنت نيازمند اين است كه از كلمات عبور استفاده نماييد. ولي اين پروسه هرگز ساده يا كاملا امن نبوده است. اغلب مردم يا سعي مي­كنند كلمات عبور زيادي را به خاطر بسپارند، يا اينكه به سادگي از كلمات عبور يكسان براي تمامي حساب­هاي كاربري خود استفاده مي­كنند. اما هر دو روش در را براي هكرها براي دسترسي به اطلاعات شخصي شما باز مي­گذارد.
چيزي كه به آن نياز است، يك روش ساده اما امن است. يك مدير برنامه در تيم امنيت و هويت مايكروسافت توضيح مي­دهد كه چگونه ويندوز 8 و IE10 سعي خواهند كرد چنين روشي را به كار بگيرند.
نسخه جديد IE به كاربران اجازه خواهد داد نام­ها و كلمات عبور حساب­هاي كاربري خود را براي تمامي وب سايت­ها و بسياري از برنامه هاي مورد استفاده، ذخيره كرده و سپس به آن دسترسي يابند. شما مي­توانيد انتخاب كنيد كه IE10 اطلاعات اعتباري شما را به طور امن ذخيره نمايد و سپس، زماني كه شما يك سايت محافظت شده توسط كلمه عبور را مشاهده مي­كنيد، آنها را به طور خودكار بازيابي نمايد.
برنامه هاي Metro-style جديد نيز مي­توانند همين ويژگي را ارائه دهند، چرا كه برنامه نويسان قادر خواهند بود برنامه هاي خود را با قابليت ذخيره سازي و بازيابي نام­هاي كاربري و كلمات عبور طراحي كنند.
علاوه بر اين، ويندوز 8 به كاربران اجازه خواهد داد با ID هاي Windows Live خود بر روي كامپيوترهاي شخصي مختلف لاگين نمايند. اين كار به شما اجازه خواهد داد تنظيمات يكسان و داده ها را از يك كامپيوتر به كامپيوتر ديگر منتقل نماييد. اين كار شامل همسان سازي اطلاعات لاگين در تمامي كامپيوترهاي ويندوز 8 شما است و به شما اين اطمينان را مي­دهد كه كلمات عبور شما بر روي هر كامپيوتري كه انتخاب كرده و از طريق Windows Live ID به آن وارد شويد، منتقل مي­شود. در نتيجه شما مي­توانيد يك كلمه عبور پيچيده براي هر حساب آنلاين خود انتخاب كنيد بدون اينكه نياز باشد آن را به خاطر بسپاريد، بلكه صرفا كافي است كلمه عبور Windows Live ID خود را حفظ كنيد.
به گفته مدير برنامه امنيتي مايكروسافت، زماني كه شما اطلاعات اعتباري خود را ذخيره مي­كنيد، و همزمان از Windows Live ID خود براي ورود به ويندوز استفاده مي­كنيد، ويندوز شما را قادر مي­سازد كه كلمه عبور هر حساب خود را طوري تنظيم كنيد كه پيچيده و يكتا باشد. از آنجاييكه ويندوز 8 به طور خودكار اين اطلاعات اعتباري را از طرف شما ثبت مي­كند، شما هرگز نياز نداريد آن را به خاطر بسپاريد. اگر بعدا نياز داشته باشيد كلمه عبور حقيقي خود را مشاهده كنيد، مي­توانيد آن را در «مدير اعتبارات» خود از هركدام از PC هاي مورد اعتماد خود مشاهده نماييد.
ويندوز 7 در حال حاضر يك «مدير اعتبارت» ارائه مي­دهد كه مي­توانيد از طريق آن نام­هاي كاربري و كلمات عبور خود را ذخيره كنيد، ولي به نظر مي­رسد نسخه مورد استفاده در ويندوز 8 بايد قابليت­هاي وسيع­تر و استفاده ساده تري داشته باشد.
البته مديريت كلمات عبور توسط ويندوز 8 و IE10 كاملا اختياري خواهد بود. كاربراني كه با اين روش راحت نيستند، به سادگي مي­توانند از آن استفاده نكنند. و روش­هاي جايگزيني براي آن وجود دارد.
برخي برنامه هاي مدير كلمه عبور مانند RoboForm يا LastPass به شما اجازه مي­دهند كلمات عبور پيچيده را براي تمامي حساب­هاي آنلاين خود توليد كرده، ذخيره نموده و مورد دسترسي قرار دهيد. تنها چيزي كه شما بايد براي حفظ امنيت به خاطر بسپاريد، يك كلمه عبور اصلي براي ورود به نرم افزار است.

ID: IRCNE2011121347
Date: 2011-12-17

According to "computerworld", Adobe today said it will release a patch Friday for an older version of the Reader PDF viewer to stymie attacks like those aimed at major defense contractors earlier this month.
Nine days ago, the company confirmed a critical bug in Reader and promised to fix the flaw in Reader and Acrobat 9.x this week.
The exploits uncovered by security researchers were aimed specifically at Reader 9.x using malformed PDF documents attached to bogus emails.
Adobe today again told users -- as it did last week -- that it will not deliver patches for Reader and Acrobat 10 on Windows, or for any version of those applications on Mac OS X and Unix, until Jan. 10, 2012.
The patched versions of Reader and Acrobat 9.x will be available tomorrow from Adobe's website. Friday's fix will be the sixth security update for Reader this year.

ID: IRCNE2011121346
Date: 2011-12-17

Protecting yourself on the Internet typically requires the use of passwords. But that process has never been easy or truly safe. Most people either try to remember too many passwords or simply use the same passwords for all their accounts. Both approaches leave the door open for hackers to access your personal information.
What's needed is a simpler yet still secure approach.
According to “CNet”, Dustin Ingalls, a group program manager on Microsoft's security and identity team, explains how both Windows 8 and Internet Explorer 10 will try to adopt that simpler yet secure approach.
The upcoming new version of IE will let users store and access the account names and passwords for all of the Web sites and many of the applications they use. You can choose to have IE10 securely house your credentials and then automatically retrieve them when you visit a password-protected site.
The new Metro-style apps can also tap into the same feature since developers will be able to design their apps with the ability to store and retrieve user names and passwords.
Further, Windows 8 will allow users to log in with their Windows Live IDs across multiple PCs. Doing so will let you synchronize the same settings and other data from one PC to another. This includes the ability to sync your login credentials to all of your Windows 8 PCs, ensuring that your passwords stay consistent on any PC you choose.
As a result, you can set up a complex password for each online account without having to remember it.
"When you store credentials in conjunction with signing in to Windows with your Windows Live ID, Windows enables you to set your password for each account to something that is both complex and unique; since Windows 8 will automatically submit the credential on your behalf, you'll never need to remember it yourself. If you need to see the actual password at some point later, you can view it in the credential manager from any of your Trusted PCs." Ingalls explained.
Windows 7 already offers a Credential Manager through which you can store usernames and passwords, but it looks like the version destined for Windows 8 should provide greater functionality and hopefully ease of use.
Of course, the option to allow Windows 8 and Internet 10 to manage your passwords will be totally voluntary. Users not comfortable with this approach can simply choose not to use it. And there are alternatives.
Password managers such as RoboForm and LastPass already let you generate, store, and access complex passwords for all your online accounts. To be fully secure, all you need to remember is one single master password to launch the software.

شماره: IRCNE2011111345
تاريخ: 23/09/90

در سه شنبه اصلاحيه ماه دسامبر كه آخرين اصلاحيه مايكروسافت در سال 2011 است، اين شركت بالاخره نقص امنيتي مورد سوءاستفاده تروجان Duqu را برطرف كرده است. با اين وجود، يك نقص امنيتي ديگر كه كاربران IE را در معرض شنود ارتباطات رمزنگاري شده قرار مي دهد، به طور كامل برطرف نشده است.
در اصلاحيه اين ماه، مايكروسافت 13 بولتن امنيتي را ارائه كرده است كه در آن 3 بولتن امنيتي بسيار مهم و 10 بولتن امنيتي ديگر، مهم معرفي شده اند.
در بولتن امنيتي بسيار مهم MS11-87 يك حفره امنيتي بسيار خطرناك در مديريت فونت True Type در هسته ويندوز اصلاح شده است كه كنترل رايانه قرباني را در اختيار مهاجم قرار مي دهد. اين آسيب پذيري در تروجان duqu مورد سوءاستفاده قرار گرفته است.
بنا بر پيش بيني شركت امنيتي Qualys، حال كه اصلاحيه مربوط به اين آسيب پذيري عرضه شده است، به زودي شاهد خواهيم بود كه كد ويروس مذكور توسط متخصصان امنيتي شناسايي شده و در دسترس قرار گيرد.
ديگر بولتن امنيتي بسيار مهم، MS11-090 است كه در واقع يك اصلاحيه تجميع شده براي به روزرساني امنيتي ActiveX Kill Bits است.
آخرين بولتن امنيتي بسيار مهم، MS11-092، يك نقص امنيتي در Windows Media Player را برطرف مي كند.
در سال ميلادي 2011، مايكروسافت 99 بولتن امنيتي را منتشر كرده است كه 32 درصد آنها بسيار مهم بوده اند. اين ميزان، پايين ترين درصد از سال 2004 است كه مايكروسافت شروع به ارائه اصلاحيه هاي دوره اي كرده است و همچنين از لحاظ تعداد نيز كمترين مقدار از سال 2005 تا كنون است.

ID :IRCNE2011121345
Date: 2011-12-14

Microsoft has finally patched a flaw being exploited by the Duqu Trojan, but a fix to protect Internet Explorer users from having their encrypted communications snooped on didn't quite make the cut.
As part of Patch Tuesday today Microsoft released 13 security bulletins, fixing 10 important bugs and three critical ones, according to the advisory.
MS11-087 fixes a critical hole in the TrueType font handling in the Windows kernel that could allow an attacker to take control of a machine. It has been used in the wild to infect systems with the Duqu malware. "Now that the patch is out, we can expect an exploit to be coded and become available in short time," security firm Qualys predicted in a blog post.
The second critical patch, MS11-090, is a cumulative security update of ActiveX Kill Bits, while the final critical update, MS11-092, fixes a flaw in Windows Media Player.
Meanwhile, the company has released 99 security bulletins this year, 32 percent of which were rated critical. That percentage is the lowest since the company began issuing monthly bulletins in 2004 and in absolute numbers it is the fewest since 2005, Microsoft said in a blog post.

شماره: IRCNE2011121344
تاريخ: 22/09/90

به گزارش WinRumors.com، دستگاه هايي كه در حال اجراي ويندوز فون نسخه 7.5 هستند، در معرض حملات انكار سرويس قرار دارند و اين حملات عملكرد پيام هاي آن ها را غير فعال مي نمايد.
يك پيام كوتاه خرابكار فرستاده شده به دستگاه در حال اجراي ويندوز فون نسخه 7.5، دستگاه را مجبور به راه اندازي مجدد مي نمايد و مركز فعاليت پيام ها را قفل مي نمايد.
WinRumors گفت: آزمايشات نشان داده اند كه اين رخنه انواع دستگاه هاي در حال اجراي سيستم عامل هاي مختلف تلفن همراه را تحت تاثير قرار مي دهد. تاكنون تنها راه حل براي اين مشكل تنظيم مجدد دستگاه و پاك كردن پيام ها از روي دستگاه است.
محققان هم چنين يك رخنه پيام كوتاه را كشف كرده اند كه به طور موقت براي آسيب رساندن به گوشي هاي اندرويد مورد سوء استفاده قرار مي گيرد. اپل و گوگل اين آسيب پذيري ها را برطرف كردند.
نمايندگان مايكروسافت بلافاصله به اين ادعا پاسخ نداده اند اما WinRumors مي گويد كه مايكروسافت به طور محرمانه در حال كار بر روي اين رخنه است.

شماره: IRCNE2011121343
تاريخ: 22/9/90

درحاليكه مرورگر فايرفاكس شركت موزيلا در هفته هاي اخير دچار عدم اعتماد شده است، به نظر مي­رسد كه Chrome وضعيت خوبي را از لحاظ امنيت داشته باشد.
مرورگر گوگل نه تنها از نظر تجاري از فايرفاكس پيش افتاده و به رتبه دوم فروش در بازار مرورگرها رسيده است، بلكه امروزه نام امن ترين مرورگر را نيز توسط شركت امنيتي Accuvant به خود اختصاص داده است.
اين شركت در مطالعه خود اظهار مي­دارد كه هر دو مرورگر Chrome و IE، تكنولوژي­هاي ضد سوء استفاده را پياده سازي مي­كنند، ولي فايرفاكس از اين نظر عقب مانده است.
به گزارش Accuvant، در عين حال معماري­هاي امنيت پلاگين و sandbox در Chrome به روش قوي­تر و مستحكم­تري پياده سازي شده است كه اين مرورگر را در برابر حملات به امن­ترين مرورگر تبديل مي­كند.
البته اين مطالعه به درخواست گوگل انجام شده است، اما نتايج و ابزارها و داده هاي آن نيز براي مطالعه به صورت آنلاين در دسترس قرار دارد.
در حاليكه بسياري از مقايسه هاي امنيت مرورگرها بر اساس معيارهايي مانند تعداد گزارش آسيب پذيري­ها و ليست سياه URL ها انجام مي­شود، Accuvant تاكيد خود را بر روي تكنيك­هاي ضد سوء استفاده قرار داده است.
يافته هاي Accuvant نشان مي­دهد كه در پنج معيار اصلاح آسيب پذيري­ها، واسط مرور امن، sandbox، مستحكم سازي JIT و معماري پلاگين، Chrome در مقام اول پياده سازي قرار مي­گيرد.
IE به علت نقايص موجود در پياده سازي sandbox و مستحكم سازي JIT، در رده دوم قرار دارد، و اين در حالي است كه فايرفاكس به علت عدم پياده سازي اين دو ويژگي كليدي، در ميان اين سه مرورگر در مقام آخر قرار گرفته است.
بنا بر يافته هاي اين شركت امنيتي، Chrome همچنين از نظر انجام به روز رساني نيز در رده اول قرار دارد و آسيب پذيري­ها را با سرعت بيشتري اصلاح مي­نمايد. زمان متوسط اصلاح يك آسيب پذيري براي Chrome فقط 53 روز است كه اين زمان در مرورگر فاير فاكس به 158 روز و در مرورگر IE به 214 روز مي­رسد.
Accuvant در مطالعه خود اين سه مرورگر را كه در مجموع بيش از 93 درصد از بازار مرورگرها را در اختيار دارند در ويندوز 7 بررسي كرده است.
نتايج اين مطالعه به نحوي نشان دهنده نتايج مسابقات هك مرورگرهاي Pwn2Own سال جاري است كه در آن، مرورگر Chrome توسط هيچ محققي هك نشده بود.